Defaults.Exposed › گزارشها
انتشار SPF کافی نیست: حس کاذب امنیت ایمیل (۲۰۲۶)
منتشرشده 2026-06-29
ارقام تا تاریخ 2026-06-29 · روششناسی نسخهٔ v7. دادههای تجمیعی سرشماری که بررسیهای هر دامنه را در میان 261 میلیون دامنهٔ نمرهگذاریشده به هم پیوند میدهد. «اعمالکننده» = یک سیاست DMARC از نوع
quarantineیاreject. ببینید چگونه نمره میدهیم.
خطرناکترین جایی که میتوان در امنیت ایمیل بود، احساسِ محافظتشدن است. 32.4% از دامنهها SPF منتشر میکنند اما اصلاً DMARC ندارند — و 45.7% دارای SPF هستند که با اعمالِ سیاست پشتیبانی نمیشود. این مالکان کاری انجام دادند، «SPF: پیکربندیشده» را دیدند و متوقف شدند. اما SPF بهتنهایی جلوی جعلِ آدرسِ «From» قابلمشاهدهٔ شما را نمیگیرد — تنها DMARCِ اعمالشده این کار را میکند. تا تاریخ 2026-06-29، تنها 3.87% از دامنهها بهطور کامل از نظر ایمیل محافظتشدهاند.
شکاف میان «پیکربندیشده» و «محافظتشده»
SPF بررسی میکند که کدام سرورها میتوانند از طرف شما ارسال کنند. این آدرسِ «From» را که شخص واقعاً میبیند مدیریت نمیکند و به گیرندگان نمیگوید در صورت شکست چه کنند. این وظیفهٔ DMARC است. بنابراین SPF بدون یک سیاست DMARCِ اعمالکننده، قفلی است بدون دری در پشتش:
| وضعیت | سهم از دامنهها | واقعاً محافظتشده؟ |
|---|---|---|
| SPF منتشرشده، اصلاً هیچ رکورد DMARC | 32.4% | خیر |
| SPF منتشرشده، DMARC بدون اعمال | 45.7% | خیر |
| بهطور کامل از نظر ایمیل محافظتشده (SPF + DMARCِ اعمالشده) | 3.87% | بله |
سطر میانی را دوباره بخوانید: 45.7% از همهٔ دامنهها SPF دارند اما هیچ اعمالی ندارند — تقریباً اکثریتِ اینترنت که در منطقهٔ امنیتِ کاذب نشسته است. برای مقاصدِ یک مهاجم، آنها قابلجعل هستند — و 89.4% از دامنهها بهطور کلی چنیناند.
بدترین نسخه: ایمیلِ ورودی، بدون نگهبان بر در
برای دامنههایی که واقعاً ایمیل دریافت میکنند، اوضاع حادتر میشود. 42.7% از دامنهها ایمیل میپذیرند (رکوردهای MX دارند) اما اصلاً هیچ احرازِ هویتِ ایمیلِ کارآمدی ندارند — نه اعمالِ SPF، نه DMARC. اینها دامنههای زنده و فعالی هستند که مالکانشان هر روز ارسال و دریافت میکنند و کاملاً قابل جعلِ هویتاند. همین فعالیت دقیقاً آن چیزی است که آنها را به اهدافِ جذاب برای کلاهبرداریِ فاکتور و کلاهبرداریِ تأمینکننده تبدیل میکند.
چرا «ما SPF داریم» به دام تبدیل شد
SPF قدیمیتر و سادهتر است و نخستین چیزی است که بیشترِ راهنماهای راهاندازی به آن اشاره میکنند — پس همان جعبهای است که تیک میخورد. DMARC دیرتر آمد، پیشرفتهتر به نظر میرسد و به یک پیشرفتِ آگاهانه بهسوی اعمال نیاز دارد. نتیجه جمعیتِ عظیمی است که گامِ یک را پذیرفتند و هرگز گامِ دو را برنداشتند، سپس همچنان باور داشتند که کار تمام شده است. سرشماری برای نخستین بار وسعتِ این تصورِ نادرست را آشکار میکند: 32.4% با SPF و اصلاً بدون DMARC.
چگونه واقعاً محافظتشده شوید
- SPF خود را نگه دارید، اما تنها به آن تکیه نکنید. (SPF را اصلاح کنید.)
- DKIM را اضافه کنید تا ایمیل شما امضا شود. (DKIM را اصلاح کنید.)
- DMARC را منتشر کنید و آن را به اعمال برسانید (
p=none←quarantine←reject). این گامی است که «پیکربندیشده» را به «محافظتشده» تبدیل میکند. (DMARC را اصلاح کنید.)
پرسشهای پرتکرار
آیا SPF برای متوقف کردن جعلِ ایمیل کافی است؟ خیر. SPF از آدرسِ «From» قابلمشاهده محافظت نمیکند و به گیرندگان نمیگوید جعلها را رد کنند — تنها یک سیاست DMARCِ اعمالکننده این کار را میکند. 45.7% از دامنهها SPF بدون آن اعمال دارند.
من یک رکورد SPF دارم — آیا محافظتشدهام؟
نه بهتنهایی. شما تنها زمانی محافظتشدهاید که SPF (و ترجیحاً DKIM) با DMARCِ تنظیمشده روی quarantine یا reject پشتیبانی شود. تنها 3.87% از دامنهها به آن میرسند.
چه سهمی از دامنهها هنوز قابلِ جعلِ هویتاند؟ 89.4% — زیرا فاقدِ DMARCِ اعمالکننده هستند، صرفنظر از اینکه SPF منتشر میکنند یا نه.
چرا داشتنِ ایمیل (MX) بدون احرازِ هویت بهویژه پرخطر است؟ 42.7% از دامنهها فعالانه ایمیل ارسال و دریافت میکنند اما هیچ احرازِ هویتِ کارآمدی ندارند — دامنههای زنده و مورداعتمادی که هر کسی میتواند جعلشان کند، و این دقیقاً همان چیزی است که کلاهبرداران به دنبالش هستند.
بررسی کنید که آیا واقعاً محافظتشدهاید
«ما SPF داریم» با محافظتشدن یکی نیست. دامنهٔ خود را رایگان و خصوصی بررسی کنید — ببینید آیا ایمیل شما هنوز قابل جعل است.
دامنهٔ خود را بررسی کنید → · DMARC را اصلاح کنید → · امتیازِ مواجههٔ دامنه → · p=none محافظت نیست → · تنها دادههای تجمیعی. دادهها در اتحادیهٔ اروپا ذخیره و پردازش میشوند.